王磊

安全工程师

基本信息

• 个人信息： 王磊/男/1995年
• 教育经历： 本科/中山大学 ****学院 ****专业/2017届
• 英语水平： CET-6

工作经历

**云 安全研究(2020.4-至今)

容器安全研究

• 挖掘原创性容器安全漏洞, 并在现网渗透。

** 安全解决方案部 安全测试(2017.9-2020.4)

产品版本安全验收

• 主导或参与多个产品的安全测试，累计发现150余个安全漏洞。工作内容主要包括白盒代码审计、黑盒fuzz测试、安全基线设计与执行、安全工具落地, 验收产品涉及Go/Java/C语言。

安全培训

• 主导产品线自研训战平台的设计和核心功能开发，引入容器技术实现20台4U6G虚拟机支撑1000人同时申请实验环境。
• 独立设计和开发Go/Java/C/sudo等类型共计24门实战课程，培训方案累计访问57000余次。

go语言安全研究

• 主导go语言安全测试方案研究，发现10个维度的go语言独有安全问题，在产品线落地，累计发现30余个问题。
• 在产品线推广落地go-fuzz工具，累计发现10余个问题。

容器(docker)安全研究

• 主导docker安全测试方案研究，输出11个维度共计102条测试用例的测试方案。覆盖业界标杆的CIS docker基线全部内容，且新增约30%内容。
• 在产品线落地，累计发现70余个严重/致命问题。

个人项目

• st0n3_pdb:官方pdb仅支持python代码级别的调试，我基于pdb开发了一个字节码级别的python debugger，类似c语言的汇编级别调试，未发现有类似工具能实现同样的功能。技术栈: python/c。
• waterdropctf:基于容器技术实现的ctf队内训练平台，支持在线awd功能。技术栈: docker/go/vue。
• hackerbot: 个人开源威胁情报平台，基于rss/爬虫收集安全技术信息。技术栈: docker/go/vue。
• ctf项目:
  • php_defense: 支持php的ctf流量记录及waf工具，支持黑白名单流量基于hash过滤，流量转发等功能。
  • auto_submit: 自动提交工具。
  • flask_defense: 支持python flask框架的ctf流量记录及waf工具。
• 千万级流水成人网站渗透：某成人pt站点，种子总大小3pb，对方有一定水平，及时修复了一开始利用的sql注入漏洞，最终使用任意文件读取漏洞获取到shell权限。

技能清单

荣誉